PARECER JURÍDICO SOBRE NOVA LEGISLAÇÃO DE PROTEÇÃO DE DADOS
Porto, 29.03.18
Na sequência do acordado cumpre informar o seguinte:
1. O Regulamento comunitário já se encontra em vigor estando apenas a decorrer um prazo de
adaptação até 24.05.18. 2. Encontra-se em discussão na Assembleia da República uma proposta de decreto-lei que aprovará a transposição da Regulamento comunitário com a concretização do Regulamento Comunitário. Atendendo aos prazos do processo de aprovação na Assembleia da República e promulgação não será possível antes de Maio de 2018 termos essa norma fundamental. Por isso tudo o que aqui é dito é com a informação disponível neste momento. 1 3. Devemos partir de um conceito em que o tratamento dos dados é lícito quando: a) Há consentimento do titular dos dados b) É necessário para a execução de um contrato no qual o titular dos dados é parte c) É necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito d) É necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular e) É necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública f) É necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros 4. Analisada a lei disponível (Reg. Comunitário) cumpre ter em conta, em síntese, que: a. A XXXX,Crl enquanto Cooperativa deve proceder à análise da informação disponível identificando onde e que dados pessoais tem disponíveis (definição de dados pessoais : “toda a informação, de qualquer natureza e independentemente do suporte em que se encontre armazenada, relativa a características pessoais ou circunstâncias materiais de uma pessoa singular ou identificável (a titular dos dados), nomeadamente mas não limitada à morada, número da apólice, informação atuarial, sinistros, profissão e outros detalhes como estado de saúde, rendimento ou
posição financeira.”). Em concreto devem ser identificados locais e forma onde se
arquivam os documentos que possuem os dados pessoais (Pastas, PC, Portáteis, telemóveis, “nuvem” e outros). b. O regulamento alarga o conceito de consentimento do titular dos dados e introduz novas condições para a sua obtenção, pelo que é necessário apurar se detemos na XXXX,Crl esse consentimento sob pena de o tratamento de dados se tornar ilícito por falta de base legal. c. Deve ser dado consentimento escrito por trabalhadores, administradores, prestadores de serviços, entre outros, que permita a recolha/tratamento de dados. Nessa declaração deve a XXXX,CRL informar acerca da base legal para tratamento de dados, prazo de conservação, informação de toda e qualquer transferência internacional (de dados) e possibilidade de apresentar queixa. d. Deve ser criado um procedimento (documentado) que permita a XXXX,crl provar em caso de inspeção que o sistema de proteção de dados está implementado e eventual nomeação de um encarregado de proteção de dados. Por exemplo, com identificação e controlo de quem pode aceder e editar dados pessoais existentes na empresa ou com registo de todos os pedidos e respostas relativos ao tratamento de 2 dados e portabilidade (ou mesmo a sua possibilidade de eliminação dos dados/limitação). É claro no texto legal que existe obrigação para a XXXX,Crl de nesse procedimento analisar o risco (confidencialidade, integridade, prevenção alteração acidental ou ilícita, acessos não autorizados) e de criar procedimento para a notificação de violação de segurança à CNPD e, por vezes, aos titulares da informação violada. e. Chamo particular atenção para a identificação dos dados “sensíveis“, nomeadamente, dados biométricos (ex. no caso da existência, de relógio de ponto) e do seu regime de acesso/criação/tratamento mais restrito. f. Deve ser preparada a designação do encarregado de proteção de dados que poderá desempenhar um papel fulcral neste período de transição para garantir que a organização cumpre todas as obrigações legais desde o início da aplicação do regulamento. g. Todas as obrigações de controlo de dados aplicam-se aos subcontratantes (advogado, contabilista, TOC, etc.). Por isso deverá haver uma declaração emitida por qualquer destes elementos que garante protege os dados a que tem acesso. Quando houver lugar a sub-subcontratação, compete ao subcontratante verificar se detém as
autorizações respetivas dos responsáveis pelo tratamento, exigidas expressamente
pelo novo regulamento; caso contrário, deve obtê-las até maio de 2018. h. O regulamento obriga a prestar mais informações do que atualmente, designadamente a base legal para o tratamento de dados, o prazo de conservação dos dados, informações mais detalhadas sobre as transferências internacionais de dados e a possibilidade de apresentar queixa junto da CNPD. i. Quanto ao exercício dos direitos dos titulares dos dados deve ser iniciado procedimentos internos de garantia do exercício dos direitos dos titulares dos dados, atendendo a novas exigências específicas do regulamento neste domínio quanto à tramitação dos pedidos, em especial aos prazos máximos de resposta. j. Os direitos dos titulares de dados foram alargados em relação à atual lei, passando a existir o direito à limitação do tratamento e o direito à portabilidade, bem como novos requisitos quanto ao direito à eliminação dos dados e quanto à notificação de terceiros sobre retificação ou apagamento ou limitação de tratamento solicitados pelos titulares. k. Deve a XXXX,Crl adotar procedimentos internos e ao nível da subcontratação, se for o caso, para lidar com casos de violações de dados pessoais, designadamente, na 3 deteção, identificação e investigação das circunstâncias, medidas mitigadoras, circuitos da informação entre responsável e subcontratante, envolvimento do encarregado de proteção de dados e notificação à CNPD, atendendo aos prazos prescritos no regulamento. l. O Regulamento obriga a que o responsável pelo tratamento e o subcontratante apliquem medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado, nomeadamente através da: i. A pseudonimização e a cifragem dos dados pessoais; ii. A capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento; iii. A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico. m. O responsável pelo tratamento e o subcontratante devem ter um processo que permita testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento, o que vai implicar nomeadamente, que muitas entidades necessariamente se certifiquem, nomeadamente, a nível da ISO27001.
n. GPS nas viaturas - a instalação de um equipamento de GPS em viatura atribuída pelo
empregador ao trabalhador para uso total/parcial, constitui, sem autorização deste, uma ingerência na sua vida privada, logo ilegal. Deve a XXXX ponderar esta situação porquanto o sistema de GPS sem sistema de on/off revela dados sobre a localização e percursos relativos a dados pessoais dos trabalhadores. Admite-se a instalação de sistemas de geolocalização em veículos automóveis para as finalidades de: i. gestão de frota em serviço externo (por ser relevante para a distribuição do serviço, para a informação dos tempos de espera ou para a melhoria da capacidade de resposta) mas apenas nas atividades de 1. assistência técnica externa ou ao domicílio, 2. distribuição de bens, 3. transporte de passageiros, 4. transporte de mercadorias e 5. segurança privada; b) Proteção de bens: mas apenas nos casos de veículos que transportem (i) materiais perigosos (nomeadamente, materiais tóxicos ou inflamáveis, resíduos perigosos, armas, explosivos ou medicamentos) ou (ii) materiais de valor superior a € 10 000. 4 Fora destes casos, permite-se a instalação de dispositivos de geolocalização em situações excecionais e apenas para proteção do veículo ou dos bens transportados que são objeto direto da geolocalização, desde que seja adotada uma solução técnica que permita que os dados de localização fiquem selados e só possam ser acedidos para efeitos de participação criminal em caso de furto da viatura ou dos bens. Para esse efeito a XXXX,crl tem que dar conhecimento aos colaboradores da existência de dispositivos de geolocalização nos equipamentos que lhes disponibiliza, devendo estabelecer as condições de utilização dos mesmos. o. Quanto as câmaras de vigilância a XXXX pode utilizar meios de vigilância à distância sempre que tenha por finalidade a proteção e segurança de pessoas e bens, devendo entender-se, contudo, que essa possibilidade se circunscreve a locais abertos ao público ou a espaços de acesso a pessoas estranhas à empresa, em que exista um razoável risco de ocorrência de delitos contra as pessoas ou contra o património. Por outro lado, essa utilização deverá traduzir-se numa forma de vigilância genérica, destinada a detetar factos, situações ou acontecimentos incidentais e não numa vigilância diretamente dirigida aos postos de trabalho ou ao campo de ação dos trabalhadores. O Código de Trabalho impõe que deve o empregador informar o
trabalhador sobre a existência e finalidade dos meios de vigilância utilizados. Neste
momento ainda não é certo se esse pedido também que ser autorizado pela entidade administrativa (CNPD). O empregador informa o trabalhador da existência e da finalidade dos meios de vigilância. Deve, nomeadamente, afixar os dizeres que a lei ordena: «Este local encontra-se sob vigilância de um circuito fechado de televisão» ou «Este local encontra-se sob vigilância de um circuito fechado de televisão, procedendo-se à gravação de imagem e som». A gravação deve ser inutilizada no prazo legal de 30 dias.